Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Anda bisa menggunakan topik ini untuk mempelajari cara mengonfigurasi kebijakan DNS di Windows Server® 2016 untuk membuat filter kueri yang didasarkan pada kriteria yang Anda berikan.
Filter kueri dalam kebijakan DNS memungkinkan Anda mengonfigurasi server DNS untuk merespons dengan cara kustom berdasarkan kueri DNS dan klien DNS yang mengirim kueri DNS.
Misalnya, Anda dapat mengonfigurasi kebijakan DNS dengan filter kueri Daftar Blokir yang memblokir kueri DNS dari domain berbahaya yang diketahui, yang mencegah DNS merespons kueri dari domain ini. Karena tidak ada respons yang dikirim dari server DNS, waktu kueri DNS anggota domain berbahaya habis.
Contoh lain adalah membuat filter kueri Izinkan Daftar yang hanya memungkinkan sekumpulan klien tertentu untuk menyelesaikan nama tertentu.
Kriteria filter kueri
Anda dapat membuat filter kueri dengan kombinasi logis apa pun (AND/OR/NOT) dari kriteria berikut.
| Nama | Deskripsi |
|---|---|
| Subnet Klien | Nama subnet klien yang telah ditentukan sebelumnya. Digunakan untuk memverifikasi subnet tempat kueri dikirim. |
| Protokol Transportasi | Protokol transportasi yang digunakan dalam kueri. Nilai yang mungkin adalah UDP dan TCP. |
| Internet Protocol | Protokol jaringan yang digunakan dalam kueri. Nilai yang mungkin adalah IPv4 dan IPv6. |
| Alamat IP Antarmuka Server | Alamat IP antarmuka jaringan server DNS yang menerima permintaan DNS. |
| FQDN | Nama Domain rekaman yang Sepenuhnya Memenuhi Syarat dalam kueri, dengan kemungkinan menggunakan kartubebas. |
| Jenis Kueri | Jenis rekaman yang sedang dikueri (A, SRV, TXT, dll.). |
| Waktu Hari Ini | Waktu hari kueri diterima. |
Contoh berikut menunjukkan kepada Anda cara membuat filter untuk kebijakan DNS yang memblokir atau mengizinkan kueri resolusi nama DNS.
Catatan
Contoh perintah dalam topik ini menggunakan perintah Windows PowerShell Add-DnsServerQueryResolutionPolicy. Untuk informasi selengkapnya, lihat Add-DnsServerQueryResolutionPolicy.
Memblokir kueri dari domain
Dalam beberapa keadaan, Anda mungkin ingin memblokir resolusi nama DNS untuk domain yang telah Anda identifikasi sebagai berbahaya, atau untuk domain yang tidak mematuhi panduan penggunaan organisasi Anda. Anda dapat menyelesaikan pemblokiran kueri untuk domain dengan menggunakan kebijakan DNS.
Kebijakan yang Anda konfigurasi dalam contoh ini tidak dibuat pada zona tertentu - sebagai gantinya Anda membuat Kebijakan Tingkat Server yang diterapkan ke semua zona yang dikonfigurasi di server DNS. Kebijakan Tingkat Server adalah yang pertama dievaluasi dan dengan demikian terlebih dahulu dicocokkan ketika kueri diterima oleh server DNS.
Contoh perintah berikut mengonfigurasi Kebijakan Tingkat Server untuk memblokir kueri apa pun dengan akhiran domain contosomalicious.com.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicy" -Action IGNORE -FQDN "EQ,*.contosomalicious.com" -PassThru
Catatan
Saat Anda mengonfigurasi parameter Tindakan dengan nilai IGNORE, server DNS dikonfigurasi untuk menghilangkan kueri tanpa respons sama sekali. Ini menyebabkan klien DNS di domain berbahaya kehabisan waktu.
Memblokir kueri dari subnet
Dengan contoh ini, Anda dapat memblokir kueri dari subnet jika ditemukan terinfeksi oleh beberapa malware dan mencoba menghubungi situs berbahaya menggunakan server DNS Anda.
' Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" -PassThru '
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kriteria subnet dalam kombinasi dengan kriteria FQDN untuk memblokir kueri untuk domain berbahaya tertentu dari subnet yang terinfeksi.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" –FQDN “EQ,*.contosomalicious.com” -PassThru
Memblokir jenis kueri
Anda mungkin perlu memblokir resolusi nama untuk jenis kueri tertentu di server Anda. Misalnya, Anda dapat memblokir kueri 'ANY', yang dapat digunakan dengan berbahaya untuk membuat serangan amplifikasi.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyQType" -Action IGNORE -QType "EQ,ANY" -PassThru
Perbolehkan kueri hanya dari domain
Anda tidak hanya dapat menggunakan kebijakan DNS untuk memblokir kueri, Anda bisa menggunakannya untuk menyetujui kueri secara otomatis dari domain atau subnet tertentu. Saat Anda mengonfigurasi Izinkan Daftar, server DNS hanya memproses kueri dari domain yang diizinkan, sambil memblokir semua kueri lain dari domain lain.
Perintah contoh berikut hanya mengizinkan komputer dan perangkat di domain contoso.com dan turunan untuk mengkueri server DNS.
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.contoso.com" -PassThru
Perbolehkan kueri hanya dari subnet
Anda juga dapat membuat Daftar Izinkan untuk subnet IP, sehingga semua kueri yang tidak berasal dari subnet ini diabaikan.
Add-DnsServerClientSubnet -Name "AllowedSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicySubnet” -Action IGNORE -ClientSubnet "NE, AllowedSubnet06" -PassThru
Izinkan hanya QType tertentu
Anda dapat menerapkan Izinkan Daftar ke QTYPEs.
Misalnya, jika Anda memiliki pelanggan eksternal yang meminta antarmuka server DNS 164.8.1.1, hanya QTYPEs tertentu yang diizinkan untuk dikueri, sementara ada QTYPEs lain seperti catatan SRV atau TXT yang digunakan oleh server internal untuk resolusi nama atau untuk tujuan pemantauan.
Add-DnsServerQueryResolutionPolicy -Name "AllowListQType" -Action IGNORE -QType "NE,A,AAAA,MX,NS,SOA" –ServerInterface “EQ,164.8.1.1” -PassThru
Anda dapat membuat ribuan kebijakan DNS sesuai dengan persyaratan manajemen lalu lintas Anda, dan semua kebijakan baru diterapkan secara dinamis - tanpa memulai ulang server DNS - pada kueri masuk.